ทั่วไป

Privacy Policy and Notice

นโยบายและประกาศความเป็นส่วนตัว

นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy)
บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด (สำนักงานใหญ่)

บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด ("บริษัทฯ") ให้ความสำคัญต่อการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยในการประมวลผลข้อมูลอย่างสูงสุด เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และมาตรฐานสากล ISO/IEC 27701:2019 บริษัทจึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อแสดงถึงหลักการ แนวทาง และมาตรการในการเก็บรวบรวม ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ผู้ใช้งาน พันธมิตรธุรกิจ และบุคคลที่เกี่ยวข้องทุกฝ่าย
1. หลักการพื้นฐานในการประมวลผลข้อมูลส่วนบุคคล

บริษัทยึดหลักการสากลและตาม PDPA ในการประมวลผลข้อมูลส่วนบุคคล ดังนี้:

• ความชอบด้วยกฎหมาย ความเป็นธรรม และความโปร่งใส (Lawfulness, Fairness, Transparency)
• ความจำกัดตามวัตถุประสงค์ (Purpose Limitation)
• การใช้ข้อมูลอย่างจำกัดและจำเป็น (Data Minimization)
• ความถูกต้องของข้อมูล (Accuracy)
• การเก็บรักษาอย่างจำกัดเวลา (Storage Limitation)
• ความมั่นคงปลอดภัยและความลับ (Integrity and Confidentiality)
• ความสามารถในการแสดงความรับผิดชอบ (Accountability)

2. ข้อมูลส่วนบุคคลที่บริษัทประมวลผล

บริษัทอาจเก็บรวบรวมข้อมูลส่วนบุคคล เช่น ชื่อ-นามสกุล ข้อมูลติดต่อ อีเมล หมายเลขโทรศัพท์ ข้อมูลบัญชีผู้ใช้งาน ข้อมูลการใช้งานเว็บไซต์หรือระบบอีเมล ข้อมูลเทคนิค เช่น IP address รวมถึงข้อมูลจราจรทางคอมพิวเตอร์ตาม พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยข้อมูลจะถูกประมวลผลเท่าที่จำเป็นและสอดคล้องกับวัตถุประสงค์ที่ได้แจ้งไว้

3. แหล่งที่มาของข้อมูลส่วนบุคคล

บริษัทจะไม่เก็บรวบรวมข้อมูลส่วนบุคคล เว้นแต่ในกรณี ดังนี้

3.1 บริษัทได้รับข้อมูลส่วนบุคคลจากเจ้าของข้อมูลส่วนบุคคลโดยตรง โดยบริษัทจะเก็บรวบรวมข้อมูลส่วนบุคคลจากขั้นตอนการให้บริการ ดังนี้

• ขั้นตอนการใช้บริการกับบริษัทหรือขั้นตอนการยื่นคำร้องขอใช้สิทธิต่าง ๆ กับบริษัทเช่น การลงทะเบียนสมัครใช้บริการ การรับข้อมูลข่าวสาร การสมัครงาน เป็นต้น
• การเก็บข้อมูลโดยความสมัครใจของเจ้าของข้อมูลส่วนบุคคล เช่น การทำแบบสอบถาม (survey) หรือ การโต้ตอบทางที่อยู่อีเมล (email address) หรือช่องทางการสื่อสารอื่นๆ ระหว่างบริษัทและเจ้าของข้อมูลส่วนบุคคล
• การเก็บข้อมูลจากการใช้เว็บไซต์ของบริษัทผ่านเบราว์เซอร์คุกกี้ (browser’s cookies) ของเจ้าของข้อมูลส่วนบุคคล และการใช้บริการธุรกรรมทางอิเล็กทรอนิกส์

3.2 บริษัทได้รับข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลจากบุคคลที่สาม โดยบริษัทเชื่อโดยสุจริตว่าบุคคลที่สามดังกล่าวมีสิทธิเก็บข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลและเปิดเผยแก่บริษัทฯ

4. ฐานทางกฎหมายในการประมวลผลข้อมูล

การประมวลผลข้อมูลส่วนบุคคลของบริษัทจะกระทำบนพื้นฐานที่มีกฎหมายรองรับตามมาตรา 24 และ 26 ของ PDPA ได้แก่

• การปฏิบัติตามสัญญา (Contract)
• การปฏิบัติตามกฎหมาย (Legal Obligation)
• ประโยชน์โดยชอบด้วยกฎหมาย (Legitimate Interest)
• ประโยชน์สำคัญต่อชีวิต (Vital Interest)
• ความยินยอม (Consent) บริษัทจะขอความยินยอมจากท่าน กรณีที่มีกฎหมายกำหนดให้ขอความยินยอม หรือบริษัทไม่มีเหตุให้ใช้ฐานการประมวลผลข้างต้นเพื่อประมวลผลข้อมูลส่วนบุคคลที่เก็บรวบรวมมาจากท่านได้

5. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคล

บริษัทจะประมวลผลข้อมูลส่วนบุคคลเพื่อ

• ให้บริการระบบอีเมลและบริการที่เกี่ยวข้องแก่ลูกค้า
• ติดต่อสื่อสาร แจ้งเตือน และให้ข้อมูลเกี่ยวกับการให้บริการ
• ปรับปรุงและพัฒนาบริการให้ตอบสนองต่อความต้องการของผู้ใช้งาน
• ตรวจสอบ วิเคราะห์ และรายงานตามข้อกำหนดด้านความมั่นคงปลอดภัย
• ปฏิบัติตามกฎหมาย กฎระเบียบ และมาตรฐานที่เกี่ยวข้อง

6. การเก็บรักษาและมาตรการความมั่นคงปลอดภัย

บริษัทจะดำเนินการตามมาตรา 37 ของ PDPA และมาตรฐาน ISO/IEC 27701 โดยจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ทั้งในด้านเทคนิค กายภาพ และการบริหารจัดการ เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ซึ่งรวมถึง

• การควบคุมสิทธิ์การเข้าถึงด้วยระบบยืนยันตัวตนและอนุญาตสิทธิ์
• การเข้ารหัสข้อมูล การปกป้องข้อมูลที่จัดเก็บและส่งผ่านระบบเครือข่าย
• การตรวจสอบและบันทึกกิจกรรมที่เกี่ยวข้องกับข้อมูล (logging & monitoring)
• การสำรองข้อมูล (Backup) และการกู้คืนในกรณีเกิดเหตุผิดปกติ (Disaster Recovery & BCP)
• การจัดอบรมความรู้ด้าน PDPA และ ISO/IEC 27701 ให้กับพนักงานและผู้มีส่วนเกี่ยวข้อง
• การทบทวน ทดสอบ และประเมินผลมาตรการความมั่นคงปลอดภัยอย่างสม่ำเสมอ
• กำหนดให้ผู้รับข้อมูลจากบริษัทมีหน้าที่ต้องรักษาความลับของข้อมูลส่วนบุคคลตามมาตรการรักษาความลับและประมวลผลข้อมูลส่วนบุคคลเฉพาะเจาะจงตามที่บริษัทกำหนดไว้

7. การเปิดเผยหรือโอนข้อมูล

บริษัทจะไม่เปิดเผยข้อมูลส่วนบุคคลให้บุคคลภายนอก เว้นแต่

• ได้รับความยินยอม
• เป็นไปตามกฎหมาย
• ว่าจ้างผู้ประมวลผลข้อมูลที่มีข้อตกลงด้านการคุ้มครองข้อมูลที่ชัดเจน และมีมาตรการความมั่นคงปลอดภัยตามมาตรฐานที่กฎหมายกำหนด

ในกรณีการโอนข้อมูลไปต่างประเทศ บริษัทจะตรวจสอบให้ประเทศปลายทางมีมาตรฐานคุ้มครองข้อมูลเพียงพอ

8. สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลส่วนบุคคลอาจใช้ตามกฎหมายดังนี้
ขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคล

• 1. สิทธิขอถอนความยินยอม
• 2. สิทธิขอเข้าถึงข้อมูล
• 3. สิทธิขอถ่ายโอนข้อมูล
• 4. สิทธิขอคัดค้าน
• 5. สิทธิขอให้ลบหรือทำลายข้อมูล
• 6. สิทธิขอให้ระงับการใช้ข้อมูล
• 7. สิทธิขอให้แก้ไขข้อมูล
• 8. สิทธิร้องเรียน ท่านมีสิทธิร้องเรียนต่อผู้มีอำนาจตามกฎหมายที่เกี่ยวข้อง หากท่านเชื่อว่าการเก็บรวบรวม ใช้ และ/หรือเปิดเผยข้อมูลส่วนบุคคลของท่านเป็นการกระทำในลักษณะที่ฝ่าฝืนหรือไม่ปฏิบัติตามกฎหมายที่เกี่ยวข้อง

9. การใช้คุกกี้ (Cookies)

เว็บไซต์ของบริษัทใช้คุกกี้เพื่อวิเคราะห์พฤติกรรมการใช้งาน โดยจะแจ้งให้ผู้ใช้งานทราบ และขอความยินยอมเมื่อจำเป็นตามกฎหมาย

10. การแจ้งเหตุการณ์การรั่วไหลของข้อมูลส่วนบุคคล

บริษัทจะดำเนินการแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง นับแต่ทราบเหตุ และแจ้งเจ้าของข้อมูลหากมีความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคล ทั้งนี้บริษัทมีแผนตอบสนองต่อเหตุการณ์ (Incident Response Plan) ตามมาตรฐาน ISO/IEC 27701

11. ช่องทางการติดต่อ
    หากท่านมีข้อสงสัยหรือประสงค์จะใช้สิทธิ กรุณาติดต่อ:

ผู้ควบคุมข้อมูลส่วนบุคคล
บริษัท ไซเบอร์เซ็คเอ็กซ์ จำกัด (สำนักงานใหญ่)

เลขที่ 189/166 หมู่ที่ 5, ต.บางขนุน อ.บางกรวย จ.นนทบุรี 11130
อีเมล contact@cybersecx.co.th
เว็บไซต์ www.cybersecx.co.th
หมายเลขโทรศัพท์ 095-142-4446

 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ทีมBD
เเลขที่ 189/166 หมู่ที่ 5, ต.บางขนุน อ.บางกรวย จ.นนทบุรี 11130
อีเมล contact@cybersecx.co.th
เว็บไซต์ www.cybersecx.co.th
หมายเลขโทรศัพท์ 095-142-4446

12. กฎหมายที่ใช้บังคับ

นโยบายคุ้มครองข้อมูลส่วนบุคคลนี้ อยู่ภายใต้การบังคับและการตีความตามกฎหมายไทยและศาลไทยเป็นผู้มีอำนาจในการพิจารณาข้อพิพาทใดที่อาจเกิดขึ้น

13. การปรับปรุงนโยบาย

บริษัทอาจปรับปรุงนโยบายนี้ตามความเหมาะสม โดยจะประกาศนโยบายฉบับปรับปรุงบนเว็บไซต์ของบริษัทฯ

บริษัท TSCInfosec ก่อตั้งขึ้นตั้งแต่ปี 2560 โดยดำเนินธุรกิจเกี่ยวกับการจัดการความมั่นคงปลอดภัยของข้อมูลด้วยบริการการจัดทำมาตรฐานพร้อมตรวจสอบและฝึกอบรม ทั้งนี้เพื่อเป็นการตอบสนองการรักษาความมั่นคงปลอดภัยของลูกค้าทุกระดับตั้งแต่ระดับ sme ถึง enterprise และได้เปลี่ยนชื่อมาเป็น CybersecX เพื่อให้ตอบรับกับธุรกิจให้หลากหลายขึ้น

ความมั่นคงปลอดภัยทางไซเบอร์มีความสำคัญเพราะว่ามันช่วยปกป้องข้อมูลทุกประเภทจากการถูกขโมยและการถูกทำลาย รวมถึงข้อมูลที่เป็นความลับ, ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้, ข้อมูลทางสุขภาพที่คุ้มครอง, ข้อมูลส่วนตัว, ทรัพย์สินทางปัญญา, ข้อมูลต่างๆ และระบบข้อมูลของรัฐบาลและอุตสาหกรรม หากไม่มีโปรแกรมความปลอดภัยทางไซเบอร์ องค์กรจะไม่สามารถปกป้องตัวเองจากแคมเปญการละเมิดข้อมูลได้ ซึ่งสามารถทำให้เกิดความเสียหายและมีค่าใช้จ่ายสูง และอาจทำลายชื่อเสียงขององค์กรได้ นอกจากนี้ ความปลอดภัยทางไซเบอร์ยังมีความสำคัญต่อการปกป้องความมั่นคงของชาติ, ความมั่นคงทางเศรษฐกิจ และความปลอดภัยของสาธารณสุขและความปลอดภัยของประชาชนอีกด้วย.

คุณสามารถอ่านข้อมูลเพิ่มเติมจากบทความเต็มได้จากเว็บไซต์ของ UpGuard ที่นี่: ทำไมความปลอดภัยทางไซเบอร์ถึงสำคัญ? |UpGuard
https://www.upguard.com/blog/why-is-cybersecurity-important

ภัยคุกคามด้านไซเบอร์ที่มักพบในองค์กร ได้แก่ มัลแวร์, การโจมตีแบบฟิชชิ่ง, การโจมตีแบบซีโร่เดย์, และความเสี่ยงที่เกี่ยวข้องกับบริการของบุคคลที่สามและบนคลาวด์:

1. **มัลแวร์ (Malware)**: ซอฟต์แวร์ที่มีเจตนาทำร้าย ซึ่งสามารถปลอดภัยเข้าไปในระบบเพื่อขโมยข้อมูลลับ, ให้ผู้โจมตีเข้าควบคุมระบบจากระยะไกล, หรือขัดขวางการดำเนินงาน องค์กรสามารถป้องกันมัลแวร์โดยใช้มาตรการรักษาความปลอดภัยหลายชั้น เช่น ไฟร์วอลล์, ระบบป้องกันการบุกรุก, และอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ

2. **การโจมตีแบบฟิชชิ่ง (Phishing Attacks)**: พยายามหลอกลวงเพื่อขโมยข้อมูลสำคัญ เช่น ชื่อผู้ใช้, รหัสผ่าน, และข้อมูลบัตรเครดิต การต่อสู้กับฟิชชิ่งต้องการการศึกษาผู้ใช้อย่างดีและเทคโนโลยีกรอง URL ขั้นสูงเพื่อบล็อกลิงก์และไฟล์ที่เป็นอันตราย

3. **การโจมตีแบบซีโร่เดย์ (Zero-Day Exploits)**: เป็นช่องโหว่ที่ไม่รู้จักในซอฟต์แวร์ซึ่งแฮ็กเกอร์สามารถใช้ประโยชน์ก่อนที่ผู้ขายจะออกแพทช์ การนำไปใช้โมเดลความปลอดภัย Zero Trust ซึ่งรวมถึงการควบคุมการเข้าถึงที่เข้มงวดและการตรวจสอบอย่างต่อเนื่องสามารถช่วยลดความเสี่ยงเหล่านี้ได้

4. **ความเสี่ยงจากบุคคลที่สามและคลาวด์ (Third-Party and Cloud Vulnerabilities)**: องค์กรมักใช้ผู้ขายจากภายนอกและบริการคลาวด์ซึ่งสามารถนำความเสี่ยงมาสู่ระบบความปลอดภัย กลยุทธ์ที่มีประสิทธิภาพรวมถึงการทำการประเมินความปลอดภัยอย่างละเอียดของผู้ขายและการนำไปใช้มาตรการรักษาความปลอดภัยคลาวด์อย่างครอบคลุม

หากต้องการอ่านเพิ่มเติมเกี่ยวกับกลยุทธ์ในการป้องกันภัยคุกคามเหล่านี้และเสริมสร้างมาตรการความปลอดภัยขององค์กรของคุณ สามารถอ่านบทความจาก ISACA และ Palo Alto Networks:
- ISACA: ภัยคุกคามด้านไซเบอร์หลักและวิธีป้องกัน
https://www.isaca.org/resources/news-and-trends/industry-news/2023/the-top-5-cybersecurity-threats-and-how-to-defend-against-them
- Palo Alto Networks: ภัยคุกคามด้านไซเบอร์ที่พบบ่อย
https://www.paloaltonetworks.com/blog/2020/5-common-cybersecurity-threats

การระวังป้องกันภัยจากไซเบอร์สำหรับองค์กรเป็นสิ่งสำคัญที่จะช่วยปกป้องข้อมูลและระบบจากการถูกโจมตีทางไซเบอร์ต่างๆ รวมถึงมัลแวร์, ฟิชชิ่ง, และการโจมตีแบบซีโร่เดย์ ซึ่งสามารถนำไปสู่การสูญเสียข้อมูลสำคัญ, ความเสียหายทางการเงิน, และการล่มสลายของระบบได้ นอกจากนี้ยังสำคัญต่อการปกป้องความปลอดภัยของชาติและความมั่นคงทางเศรษฐกิจอีกด้วย.

สำหรับการป้องกัน, การฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยไซเบอร์และการจัดการกับอุปกรณ์ที่เชื่อมต่อกับระบบคอมพิวเตอร์อย่างปลอดภัยเป็นสิ่งจำเป็น การสร้างแผนป้องกันและการตอบสนองต่อเหตุการณ์ที่อาจเกิดขึ้น, รวมถึงการใช้เทคโนโลยีเช่นไฟร์วอลล์, การตรวจจับการบุกรุก, และการใช้งานการยืนยันตัวตนหลายปัจจัยเป็นมาตรการที่ช่วยเสริมความปลอดภัยได้.

ในทำนองเดียวกัน, การปรับปรุงและอัปเดตซอฟต์แวร์อย่างสม่ำเสมอเพื่อปิดช่องโหว่ที่อาจถูกใช้โจมตี, และการสำรองข้อมูลอย่างสม่ำเสมอเป็นวิธีป้องกันที่สำคัญต่อการโจมตีที่อาจเกิดขึ้น, โดยเฉพาะอย่างยิ่งการโจมตีแบบระดมส่งข้อมูล (DDoS) และแรนซัมแวร์.

ดูข้อมูลเพิ่มเติมเกี่ยวกับกลยุทธ์ในการป้องกันภัยจากไซเบอร์และวิธีจัดการกับภัยคุกคามต่างๆ ได้ที่เว็บไซต์ของ CISA: Cybersecurity Best Practices | CISA
https://www.cisa.gov/cybersecurity-best-practices

ที่ปรึกษา (Standard Consult)